Ίσως το ακούσατε ή το διαβάσατε στο διαδίκτυο. Τι είναι το GDPR;
Πως επηρεάζει την καθημερινότητά μας ως επιχειρήσεις ή ως απλούς πολίτες; Ας δούμε τι συμβαίνει από την αρχή του νέου κανονισμού για να καταλάβουμε ακριβώς τι συμβαίνει.
Χρειάστηκαν 4 χρόνια ώστε η Ευρώπη να κατασταλάξει και να έρθει σε συμφωνία με το τι θα γίνει με τα προσωπικά δεδομένα και την διαχείρισή τους.
Τι θα περιλαμβάνει η οδηγία GDPR και πως μπορεί να εφαρμοστεί.
Τι είναι το GDPR;
Για όσους δεν γνωρίζετε τι είναι το GDPR να κάνουμε μία μικρή αναδρομή για το τι σημαίνει και πως μπορεί να επηρεάσει τη δική σας ζωή.
Το 2012, η Ευρωπαϊκή Επιτροπή καθόρισε τα αρχικά σχέδια για τη μεταρρύθμιση της Ευρωπαϊκής Ένωσης για την προστασία των δεδομένων.
Μετά από συζητήσεις και αφού πέρασαν 4 χρόνια ώστε να δημιουργηθεί το πλαίσιο λειτουργίας και στήριξης για το τι θα περιλαμβάνει και πως μπορεί να είναι εφικτή η οδηγία, τα μέρη κατέληξαν σε συμφωνία.
Η συμφωνία όμως που ήταν το πρώτο βήμα, απαιτεί και ενέργειες τώρα από τα Κράτη - μέλη της ΕΕ.
Θα πρέπει μέχρι τις 25 Μαΐου όλα τα μέλη της ΕΕ να θέσουν σε ισχύ τους κανόνες και μέχρι τις 6 Μαΐου η κάθε χώρα (μαζί και η δική μας) να ενσωματώσει στο νομοθετικό της πλαίσιο και όλα τα προβλεπόμενα που ορίζει η οδηγία GDPR.
Είναι πολύ βασική προϋπόθεση για την χώρα μας να είναι έτοιμη μέχρι τις 6 Μαΐου καθώς τα πρόστιμα θα είναι τσουχτερά.
Όλες οι επιχειρήσεις που διαχειρίζονται προσωπικά δεδομένα πρέπει να συμμορφωθούν με τον νέο Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων (GDPR) και να επεξεργάζονται - διαχειρίζονται ορθά τις πληροφορίες που αφορούν τους πελάτες τους.
Είναι απαραίτητη η συλλογή των προσωπικών δεδομένων;
Η κοινωνία της πληροφορίας είναι εδώ. Την ζούμε καθημερινά από την είσοδο που κάνουμε στο email μας μέχρι και την είσοδο στο TAXIS για να ενημερωθούμε φορολογικά. Κάθε φορά που κάνουμε χρήση μίας υπηρεσίας πρέπει προηγουμένως να δώσουμε κάποια στοιχεία.
Τα στοιχεία αυτά καταγράφονται και αποθηκεύονται σε μία βάση δεδομένων ενός φορέα / οργανισμού ή μίας εταιρείας με σκοπό την καλύτερη μελλοντική εξυπηρέτησή μας.
Λέγοντας προσωπικά δεδομένα εννοούμε:
- Στοιχεία διεύθυνσης οικίας και εργασίας
- Προσωπικά στοιχεία (όνομα, τηλ, ΑΔΤ, ΑΦΜ, ΑΜΚΑ)
- Οικονομικά στοιχεία (Αρ. λογαριασμών, πιστωτικές κάρτες, βιβλιάρια, συναλλαγές, μισθοδοσία, δάνεια, χρέη, εισπράξεις, κλπ)
Όλα τα παραπάνω αποθηκεύονται πολλές φορές και επεξεργάζονται από μία εταιρεία η οποία παράγει μέσα από αυτά πολύτιμες πληροφορίες.
Αυτό το τεραστίων διαστάσεων κύμα τεχνολογικής ανάτασης δημιούργησε πλεονεκτήματα (ψηφιακή εποχή, ευκολία, άμεση ιστορική αναδρομή σε οποιοδήποτε στοιχείο) αλλά και μειονεκτήματα.
Πολλοί επιχείρησαν και επιχειρούν να συλλέξουν προσωπικά στοιχεία με κακόβουλο τρόπο είτε για μεταπώληση είτε για προσωπική εκμετάλλευση (εκβιασμός, κλοπή, δολιοφθορά, κλπ).
Οι κακόβουλοι χρήστες (hackers) είναι πολλές φορές ένα βήμα εμπρός με αποτέλεσμα οι εταιρείες που διαχειρίζονται τέτοιου είδους δεδομένα να μην είναι ικανές να παρέχουν την προστασία των δεδομένων των πελατών τους.
Εδώ είναι που γεννήθηκε η ανάγκη του GDPR.
Όπως προαναφέραμε, το GDPR είναι ένα νέο σύνολο κανόνων που ισχύουν για τους πολίτες της ΕΕ με σκοπό να έχουν μεγαλύτερο έλεγχο στα δεδομένα τους, ενώ παράλληλα απλοποιούν τους κανονισμούς που αφορούν τις επιχειρήσεις για τις πληροφορίες.
Η προσαρμογή των νέων κανόνων έγινε με γνώμονα την τάχιστη εξέλιξη της κοινωνίας της πληροφορίας ώστε να συμβαδίζουν με τον γεωμετρικής ανάπτυξης ρυθμό των διασυνδέσεων του κόσμου στον οποίο ζούμε.
Η ημερομηνία γέννησης του GDPR είναι στις 6 Απριλίου 2016.
Πότε ξεκινάει η ισχύς του GDPR;
Στις 25 Μαΐου 2018 ενώ η χώρα μας θα πρέπει να ενσωματώσει την οδηγία σε εθνικό νομοθετικό πλαίσιο μέχρι τις 6 Μαΐου.
GDPR και πολίτες
Με την έλευση του, το GDPR εξασφαλίζει ότι οι πολίτες των οποίων τα δεδομένα έχουν παραβιαστεί θα ενημερώνονται και θα γνωρίζουν ακριβώς πότε έχει συμβεί.
Παράλληλα, οι εταιρείες που διαχειρίζονται δεδομένα θα πρέπει να ενημερώνουν με την σειρά τους τους καθορισμένους αρμόδιους φορείς και εθνικούς οργανισμούς, ώστε να διασφαλιστεί ότι τα δεδομένα των πελατών που διατηρούν δεν έχουν καταχραστεί.
Ως πελάτες εταιρειών, οι πολίτες θα έχουν μία διαφάνεια ως προς τον τρόπο που επεξεργάζονται και χειρίζονται οι εταιρείες τα δεδομένα τους.
Ήδη κάποιες εταιρείες αποστέλλουν μηνύματα (email) και ενημερώνουν για τον τρόπο επεξεργασίας και διαχείρισης των προσωπικών δεδομένων.
Επιπλέον, πολλές εταιρείες και οργανισμοί έρχονται σε επαφή με τους πελάτες για να διαπιστώσουν εάν επιθυμούν ή όχι να είναι μέρος της βάσης δεδομένων τους, καθιστώντας έτσι τον ίδιο εύκολο για τον πελάτη να αποχωρήσει από την ύπαρξη του σε λίστες αλληλογραφίας.
Είναι πιο ξεκάθαρη η διαδικασία αποχώρησης από ενημερωτικές λίστες.
Τέλος, το GDPR αναδεικνύει επιτέλους τη διαδικασία του «Δικαίωμα στην Λήθη» (άρθρο 17).
Αυτή η διαδικασία επιτρέπει στους πολίτες που δεν επιθυμούν πλέον να επεξεργάζονται τα δεδομένα τους και να υπάρχουν και να κυκλοφορούν μέσω συστημάτων να τα διαγραφούν.
GDPR και ενέργειες που πρέπει να κάνουν οι επιχειρήσεις
- Οι εταιρείες / επιχειρήσεις θα πρέπει να προβούν στις κατάλληλες ενέργειες και να διασφαλίσουν ότι όλα τα προσωπικά δεδομένα που συλλέγονται πραγματοποιούνται με νόμιμο τρόπο και υπό αυστηρές προϋποθέσεις.
- Οι επιχειρήσεις είναι υποχρεωμένες να προστατεύουν τα δεδομένα από την εκμετάλλευση και πρέπει να σέβονται τα δικαιώματα των κατόχων αυτών των δεδομένων.
- Σε περίπτωση μη τήρησης των διατάξεων ασφαλείας και διαφάνειας ως προς την συλλογή και εκμετάλλευση των στοιχείων αυτών, τα πρόστιμα είναι τσουχτερά καθώς δεν πρόκειται για μία οδηγία που έχει ασήμαντες κυρώσεις.
- Οι επιχειρήσεις και επαγγελματίες που λειτουργούν και διαμένουν στην ΕΕ, καθώς και οι επιχειρήσεις εκτός της ΕΕ οι οποίοι προσφέρουν υπηρεσίες ή αγαθά σε πελάτες στην ΕΕ, είναι υπόχρεοι να συμμορφωθούν με το GDPR.
Και σχετικά με το πώς το GDPR θα επηρεάσει τις επιχειρήσεις, η Ευρωπαϊκή Επιτροπή λέει ότι «Με την ενοποίηση των κανόνων της Ευρώπης για την προστασία των δεδομένων, οι νομοθέτες δημιουργούν μια επιχειρηματική ευκαιρία και ενθαρρύνουν την καινοτομία».
Η Επιτροπή υποστηρίζει ότι, έχοντας μια αρχή για ολόκληρη την ΕΕ, θα πρέπει να καταστήσει μια απλούστερη και φθηνότερη διαδικασία για επιχειρήσεις που δραστηριοποιούνται στην περιοχή.
Αυτό θα γίνει με προϊόντα και τεχνολογίες που θα παρέχουν ουσιαστικά "προστασία δεδομένων από το σχεδιασμό και από προεπιλογή"
GDPR και παραβιάσεις δεδομένων
Το GDPR προστατεύει τα προσωπικά δεδομένα των πολιτών / πελατών επιχειρήσεων οι οποίες συλλέγουν με ηλεκτρονικό τρόπο.
Τι θα συμβεί λοιπόν στην περίπτωση που ένα όνομα, διεύθυνση, ιατρικό αρχείο, λεπτομέρεια τράπεζας ή οποιοδήποτε άλλο κομμάτι ιδιωτικών δεδομένων παραβιάζεται ή προσπελάζεται από κακόβουλη επίθεση;
Σε αυτή τη περίπτωση λοιπόν η επιχείρηση υποχρεούται να ενημερώνει τους θιγόμενους και να το αναφέρει στον αρμόδιο ρυθμιστικό φορέα, έτσι ώστε η έκταση της ζημιάς να περιοριστεί και μάλιστα σε διάστημα εντός 72 ωρών.
Η ειδοποίηση θα πρέπει να γίνεται "το συντομότερο δυνατόν" όπως αναφέρει η οδηγία και στους εμπλεκόμενους πελάτες στους οποίους ανήκουν τα δεδομένα εφ' όσον απαιτείται ώστε να μπορούν να χειριστούν το συμβάν
Όταν συμβαίνει παραβίαση, ο επιχείρηση οφείλει να ενημερώνει άμεσα τους θιγόμενους μέσω της κοινοποίησης παραβίασης (άρθρο 33) απευθείας στα θύματα.
Αυτό σημαίνει ότι ένα δελτίο τύπου ή μια ειδοποίηση στην ιστοσελίδα της εταιρείας δεν καλύπτει την υποχρέωση της επιχείρησης ως γνωστοποίηση προς τους πελάτες της.
Η κοινοποίηση πρέπει να είναι προσωπικά στον καθένα.
Πρόστιμα και κυρώσεις
Η μη συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων - GDPR έχει πολύ σοβαρές οικονομικές επιπτώσεις και θα εξαρτηθεί από τη σοβαρότητα της παραβίασης των δεδομένων καθώς και αν η επιχείρηση φαίνεται να έχει λάβει σοβαρά υπόψη τους κανονισμούς συμμόρφωσης και ασφάλειας.
Τα πρόστιμα κυμαίνονται από 10 εκατομμύρια ευρώ έως 4% του συνολικού ετήσιου κύκλου εργασιών της επιχείρησης.
Υπάρχει ένα ανώτατο πρόστιμο ύψους 20 εκατομμυρίων ευρώ ή έως 4% του συνολικού ετήσιου κύκλου εργασιών της επιχείρησης για παραβίαση των δεδομένων (επιλέγεται το μεγαλύτερο!), εάν δεν παρέχουν στους πελάτες πρόσβαση όταν ζητούν τα δεδομένα τους.
Παράνομη ή μη εξουσιοδοτημένη διεθνή μεταφορά προσωπικών δεδομένων, όπως επίσης στην περίπτωση που δεν θέσουν σε εφαρμογή τις απαραίτητες διαδικασίες GDPR.
